94693 Letture

Un'analisi delle minacce informatiche presenti e future

Da tempo le varie aziende attive nel campo della sicurezza informatica hanno registrato ed illustrato pubblicamente la tendenza che sta prendendo sempre più piede nel campo dello sviluppo di componenti malware. Una volta, infatti, i malware non erano realizzati principalmente per ottenerne un ritorno economico quanto per mostrare la propria bravura. Oggi lo scenario è radicalmente cambiato ed i malware appositamente studiati per sottrarre denaro od informazioni personali sono cresciuti in modo esponenziale. La diffusione di malware progettati per bersagliare una specifica cerchia di utenti od, addirittura, particolari aziende, rendono sempre più difficoltoso il loro tempestivo rilevamento e rimozione. Le nuove motivazioni (interessi economici) spingono gli sviluppatori di malware ad ideare codici nocivi sempre più raffinati, in grado di infettare anche gli utenti che non si ritengono propriamente dei neofiti.
Gli attacchi sono divenuti, purtroppo, sempre più “mirati” facendo assumere al fenomeno malware una natura dinamica, in continua evoluzione. Una vera e propria piaga per gli utenti comuni e le aziende.

Sino a qualche tempo fa l'unico approccio generalmente utilizzato da parte dei vari software antivirus nella lotta contro i malware consisteva nell'impiego delle cosiddette firme virali: ogni file ed ogni codice in esecuzione sulla macchina veniva confrontato con le informazioni contenute all'interno dell'archivio delle definizioni antivirus. Tale archivio raccoglie le “impronte” dei malware al momento conosciuti e classificati da parte del produttore della specifica soluzione antivirus in uso.


Al ritmo forsennato con cui nuovi malware compaiono giornalmente in Rete, non si può più tenere testa rilasciando aggiornamenti per le firme virali. Ogni singolo campione di malware pervenuto ai laboratori di ciascun produttore di soluzioni antivirus, necessiterebbe infatti di essere dettagliatamente analizzato dal personale impiegando tecniche di “reverse engineering”, procedure che prevedono l'analisi dei file in formato binario nel tentativo di risalire ad una rappresentazione il più possibile vicina al codice sorgente originario. L'attività di “reverse engineering” di un malware, così come di qualunque altro software, si può svolgere seguendo diversi approcci. I più comuni consistono nell'osservazione delle informazioni scambiate con l'impiego, per esempio, di packet sniffer (software che consentono di “intercettare” tutti i dati inviati e ricevuti dall'applicazione oggetto di analisi), nell'utilizzo di “debugger” a basso livello come SoftICE, nel disassemblare l'eseguibile dell'applicazione o del malware, nell'effettuare una decompilazione (processo che permette di rigenerare il codice sorgente in un linguaggio di livello più alto a partire dal codice macchina o “bytecode”).

Chi realizza malware, inoltre, sta utilizzando sempre più sovente espedienti e metodologie che complicano drasticamente il lavoro di “reverse engineering”. Il risultato è che questo tipo di attività è destinato a richiedere competenze tecniche sempre maggiori ed il tempo da dedicare all'analisi di ogni singolo campione malware si allunga in modo esponenziale.

Appare quindi evidente come attività del genere, che richiedono tempo e notevoli investimenti economici, si rivelino sempre meno adatte per affrontare un fenomeno, come quello del malware, in continua crescita.

Alcune aziende stanno tentando di far fronte all'emergenza incrementando il proprio personale (analisti all'interno dei laboratori) oppure, ad esempio, richiedendo frequentemente l'intervento delle forze di polizia: l'obiettivo è quello di ridurre i carichi di lavoro, e quindi il numero di varianti di malware in circolazione, individuando ed arrestando gli sviluppatori di malware più attivi e maggiormente pericolosi.

Le iniziative che mirano a coinvolgere maggiormente le forze di polizia sono certamente un passo nella giusta direzione purtuttavia questo tipo di soluzione non può essere considerata di per sé sufficiente, almeno nel breve termine. Gli sviluppatori di malware più esperti che, ad esempio, vendono i loro codici nocivi a spammers, organizzazioni mafiose e criminali, sono coloro che più facilmente riescono a sfuggire e che quindi sono indubbiamente i più difficoltosi da catturare. La mancanza di risorse umane, nella maggior parte delle polizie, ed una cooperazione a livello internazionale ancora troppo macchinosa, sono aspetti che contribuiscono a rendere meno tempestivo un intervento per l'individuazione e l'arresto degli sviluppatori di malware.
I produttori di soluzioni antivirus sono stati quindi costretti ad usare approcci differenti e più efficaci (li vedremo nel dettaglio più avanti) abbinando soluzioni tecnologiche ad un approccio “sociale”.

Tecniche di progettazione del malware: attacchi mirati per non farsi scoprire

Come appena visto, gli obiettivi cui guardano gli autori di malware sono radicalmente mutati rispetto al passato.
Oggi i malware vengono creati per sottrarre informazioni di autenticazione sui vari servizi online, per acquisire identità altrui, per usare i computer “infettati”, in modo automatizzato, per l'invio di campagne spam, per rubare credenziali d'accesso a servizi di online banking ed informazioni relative a carte di credito.
Affinché un malware possa raggiungere il suo scopo, è necessario che questo possa passare del tutto inosservato all'utente. E' questa una sostanziale differenza rispetto a quanto abbiamo assistito in passato. Diversamente rispetto a qualche anno fa, quando i malware ambivano a diffondersi sul maggior numero di sistemi possibile provocando, quindi, un'inevitabile eco sui media, oggi l'obiettivo di coloro che sviluppano componenti nocivi, è quello di mettere in atto tutte le tecniche per evitare di insospettire le varie suite per la sicurezza o gli utenti stessi.

Una delle strategie più largamente applicate dai malware odierni, consiste nell'infettare poche centinaia di sistemi per poi eventualmente aggiornare il codice nocivo con nuove varianti, prelevate direttamente dalla Rete. In questo modo è facile sfuggire all'individuazione da parte di soluzioni antivirus che poggiano pressoché esclusivamente sull'uso delle definizioni virali. Mentre, in passato, numerosi campioni malware arrivavano in poco tempo all'interno dei laboratori antivirus vista la diffusione su vastissima scala, oggi ciò avviene sempre più raramente proprio per la mutata mentalità di chi sviluppa malware.


Tra le tecniche impiegate in fase di progettazione del malware vi sono anche meccanismi automatici di controllo che effettuano test con i principali motori di scansione antivirus: ogni variante del malware si sottopone all'esame in modo tale da accertarsi di non essere riconosciuta dalla maggior parte dei motori. L'obiettivo non è quello di scampare al riconoscimento di tutti gli "engine" ma di evitare il rilevamento da parte della maggioranza di essi, anche nel caso in cui dovessero risultare attivate tutte le tecniche di rilevamento proattive (euristica, analisi comportamentale, blocco di attività specifiche in base alla specifica tipologia,...).

Il controllo automatico è paradossalmente facilitato dalla disponibilità, in Rete, di servizi come Jotti, VirusTotal, oltre a tutti i meccanismi online offerti dai vari produttori antivirus. Per lo stesso scopo vengono usati anche servizi di "sandboxing" online quali CWSandbox, Norman, Anubis e ThreatExpert. Si chiama “sandbox” un'area protetta e sorvegliata all'interno della quale possono essere ad esempio eseguite applicazioni maligne senza che queste possano realmente interferire con il sistema operativo vero e proprio. Le tecniche di “sandboxing” sono quindi uno strumento eccellente per lo studio di ogni genere di malware.


  1. Avatar
    Michele Nasi
    05/05/2010 12:03:22
    Grazie, sei troppo gentile. Resto in attesa, allora, di osservazioni e richieste. Magari nelle pagine del forum. :wink:
  2. Avatar
    NetWorkers
    05/05/2010 11:05:06
    Michele Nasi, sei una manna dal cielo. Non hai la minima idea quanto ho imparato da te... Prometto che cerchero di mettere dei commenti piu technici e meno "lecca lecca" nelle prossime. Grazie
  3. Avatar
    Red Baron
    11/05/2009 01:33:59
    Articolo interessante e molto chiaro. Le informazioni vanno date così !! Bravo Michele!
  4. Avatar
    imarcello0001
    17/12/2008 13:31:41
    Favoloso e piacevole nella lettura, semplice e di impatto. Al momento mi sto occupando di effettuare delle ricerche a livello datore di lavoro/dipendente che comportino la spiegazione di come eventualmente proteggersi da comportamenti infedeli di propri subordinati dipendenti. Sugli articoli del Nasi mi sono già abbondantemente chiarito diversi aspetti, per il resto proseguo nella gustosissima lettura. Qui ti accorgi di come è applichi delle regole e politiche di sicurezza senza minimamente preoccuparti di come se approfondissi alcune tesi o suggerimenti della casa potresti fare certissimamente meglio il tuo lavoro. Saluti
  5. Avatar
    Opensource
    22/10/2008 20:55:43
    articolo OTTIMO OTIIMO OTTIMI OTTIMO OTTIMO....
    per me la vera disgrazia è la totale mancanza di una cultura della sicurezza informatica , in quanto vedo spesso computer con installato appena un antivirus. Quest'ultimo senza essere configurato adeguatamente, senza un buon firewall installato e senza un antimalware generico con protezione in real time.
    Certo che accanto a questi software è indispensabile avere un certo comportamento , non metto in discussione che anche con questi programmi ci si può infettare, ma già è un buon punto di partenza.

    Non tocchiamo poi il tasto "update", per la maggioranza delle persone sono solo tempo perso ("funziona???allora va bene così").
  6. Avatar
    niki
    21/10/2008 22:13:55
    Oggigiorno si parla tanto del problema dovuto alla posta elettronica indesiderata e considerando che uno dei tanti scopi dei creatori di malware più evoluti è anche quello di creare delle botnet atte a generare campagne spam, mi sono sempre chiesto: ma alla fine, le aziende che pubblicizzano i loro prodotti attraverso "e-mail spazzatura", ottengono profitti? o quello che si cerca di vendere è nulla di vero ma solo frode?
    Esiste una statistica in merito?
  7. Avatar
    Michele Nasi
    21/10/2008 15:09:03
    Grazie infinite. Troppo buoni. :) Se, secondo voi, fosse opportuno approfondire qualche aspetto, inviate pure le vostre osservazioni. Grazie.
  8. Avatar
    niki
    20/10/2008 23:11:39
    Condivido. L'articolo è un capolavoro di contenuti e di esposizione,
    ORO colato. :wink:
  9. Avatar
    Chulo
    20/10/2008 20:41:30
    Articolo semplicemente splendido!
    Appena letto tutto, scorre molto bene linguisticamente, esaustivo,
    comprensibilissimo ad una vasta utenza, non tecnica.

    Ci fosse più attenzione per articoli come questi...Internet sarebbe un posto migliore, meno "infestato"...dalla complicità (seppur in buona fede naturalmente) degli utenti.
Un'analisi delle minacce informatiche presenti e future - IlSoftware.it